目次


IBM Blockchain Platform を支えるハイセキュリティ基盤「LinuxONE」

Comments

ブロックチェーンを稼動させるうえにおいて、そのプラットフォーム基盤におけるセキュリティは非常に重要なポイントになります。本稿では IBM Blockchain Platform Enterprise プランを基盤として支える LinuxONE のセキュリティについて解説させていただきます。

はじめに

昨今、大きな注目を集めているブロックチェーンですが、そのブロックチェーンが稼動するプラットフォーム基盤におけるセキュリティの重要性についてはあまり認識がされていません。もちろんブロックチェーン自体はセキュアな仕組みではありますが、あくまでソフトウェアレベルにおけるセキュリティです。仮に、ブロックチェーンがセキュリティレベルの低いプラットフォームで稼動していた場合、どのような事が起こるでしょうか?例えば、不正に管理者権限が盗まれてしまった場合、そのブロックチェーン上にある全ての台帳の情報が閲覧可能となり、あらゆる情報が漏洩してしまう可能性があります。ブロックチェーンにおけるセキュリティ対策の難しさはまさにこの点にあり、例え 1 台でもセキュリティレベルの低いプラットフォームで稼動している参加者がいると、そこから全ての情報が盗まれてしまいます。ブロックチェーンネットワーク全体のセキュリティレベル=最もセキュリティレベルの低い参加者のレベルという事になるのです。

エンタープライズレベルでブロックチェーンを使用する場合、上記のような事態は許されるものではありません。そのため、IBM Blockchain Platform Enterprise プランにおいては、稼動プラットフォームとして最もセキュリティレベルの高いプラットフォームである「LinuxONE」が選ばれています。今回はその「LinuxONE」のセキュリティが具体的にどのような点で優れているのかをご紹介します。

LinuxONE の優れたセキュリティについて

LinuxONE は IBM メインフレームが培ったハードウェアとしての最高レベルの性能はそのまま引き継ぎ、さらに、オープン・テクノロジーの先進性を兼ね備えた、企業向け Linux 専用サーバーです。そもそも IBM メインフレームは“システム基盤要素のあらゆるレベルで、セキュリティを確保する仕組みを埋め込む”という IBM の開発思想 (Secure by Design) を踏まえて開発を継続されてきたハードウェアであり、また、その高いセキュリティレベルを第 3 者にも見える形にするために、新ハードウェア機構が出るごとに継続的に第 3 者機関が規定したセキュリティ基準を満たす認証を取得し、その安全性が明確に担保されています。

その高いセキュリティレベルを持つ機能のひとつが LinuxONE の仮想化技術 LPAR (Logical Partitioning) です。LPAR はその名の通り物理サーバーを論理分割して複数の OS を稼動させる技術で、ISO/IEC 15408 で軍用レベルに準ずる EAL5+というレベルのセキュリティ認証を商用サーバーで唯一取得しています。同じような仮想化技術は他のプラットフォームでも実装されていますが、LinuxONE の LPAR は仮想サーバー間で共用している資源の安全性や高い独立性を保つ事ができる点が大きな特徴となっています。つまり、ブロックチェーンネットワークを稼動している仮想サーバーの隣で全く関係のないサーバーが稼動していたとしても、その影響を受けることなく、安心して利用することができるのです。

Secure Service Container (SSC)

LinuxONE の持つもう一つの優れた仕組みが SSC です。SSC は LinuxONE の LPAR 上にデプロイされる OS, ミドルウェア, アプリケーションが一体となったセキュアコンテナです。IBM Blockchain Platform Enterprise プランにおいてもこの SSC が利用されています。SSC の特徴の一つにブート時に改ざんを検知するとブートを中止するトラステッド・ブートの機能が挙げられます。OS などソフトウェアが改ざんされると、マルウェアが Smart Contract 内のデータを外部に送信する可能性がありますが、この機能により、仮に改ざんがあった場合はコンテナがブートされずデータ漏洩を防ぐことが可能です。そして、もう一つの大きな特徴が特権ユーザー (root) によるログインを許可せず、専用 REST API 経由でのみアクセス可能な仕様になっているという点です。他のプラットフォームでは一般的な OS コマンドなどを使用して、Smart Contract の内容を覗き見るといった事が可能ですが、LinuxONE の SSC ではそのような事はできません。また、他のプラットフォームでは管理者権限があればメモリダンプにより情報を不正に入手することが可能ですが、SSC ではメモリダンプを取得した際にも、その内容は全て暗号化されており、その内容を確認することはできません。ダンプの内容を復号するための暗号鍵は解析ベンダーのみが所有しているため、メモリダンプによる情報漏洩を防ぐことが可能となっています。

ハードウェア暗号化機構

最後にご紹介するのが LinuxONE に備わっているハードウェア暗号化機構である Crypto Express カードになります。ブロックチェーンにおける重要な要素として暗号化が挙げられますが、Crypto Express カードは LinuxONE 上での暗号化の処理を OS からオフロードして実行する HSM (Hardware Security Module) になります。Crypto Express カードの重要な特徴は暗号化や復号を行う際に秘密鍵を厳重に守ったまま処理が行えるという点です。通常のプラットフォームでは暗号化を行う際には秘密鍵がメモリ上に展開されているため、メモリダンプを取得すると秘密鍵が盗まれてしまう可能性があります。LinuxONE では秘密鍵自体はマスターキーにより暗号化された状態で管理されており、暗号化の処理が実行される際に Crypto Express カード上でのみ秘密鍵が復号されます。そのため、サーバーのメモリやディスク上に秘密鍵が展開されることはありません。また、Crypto Express カードは外部からの攻撃を検知すると自動で内部データを消去する「耐タンパー機能」を備えています。この暗号鍵の不正入手防止機能は FIPS PUB 140-2 レベル 4 という第三者機関による最高レベルの認証を取得 (Crypto Express 5S にて取得。最新の Crypto Express6S は検証中 (2018年06月末現在) ) しており、したがって Crypto Express カード上に展開された秘密鍵が盗まれる心配はありません。

さらに Crypto Express カードはサーバー内蔵型の HSM であるため、ネットワーク接続型の HSM と比較して耐障害性を考慮した複雑なネットワーク冗長構成を必要とせず、高速な内部 I/O バス接続を使用したハイ・パフォーマンス処理が可能となっています。

まとめ

IBM Blockchain Platform Enterprise プランを基盤として支える LinuxONE のセキュリティについてご紹介しました。

セキュリティ事故は一度起きてしまうと、直接的な被害だけではなく、社会的信用の失墜など多大な影響が出ます。また、その被害規模は年々大きくなる一方です。

企業規模でブロックチェーンを利用する際にはその稼動プラットフォームのセキュリティレベルまで目を配り、適切なシステム運用やセキュリティ対策を実施することが重要です。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Cloud computing
ArticleID=1062187
ArticleTitle=IBM Blockchain Platform を支えるハイセキュリティ基盤「LinuxONE」
publish-date=07122018